Eine Reihe aktueller Phishing-Betrügereien nutzen personalisierte Job-Köder, Sprachmanipulation

Cyber Security News

Das Gebäude des Internal Revenue Service im Federal Triangle in Washington, D.C. Zu den in letzter Zeit aufgetauchten Phishing-Betrügereien gehört eine, die es auf Universitätsstudenten abgesehen hat und ihnen eine Steuerrückerstattung verspricht. (Foto: Chip Somodevilla/Getty Images)

In einer Reihe von veröffentlichten Berichten werden Endanwender und Arbeitgeber gewarnt, sich vor mehreren neu entdeckten oder im Trend liegenden hinterhältigen Social-Engineering-Techniken in Acht zu nehmen – darunter die Verwendung personalisierter Jobköder, falsche Versprechungen von Steuerrückerstattungen für Universitätsmitarbeiter und Studenten und sogar die Manipulation der Stimme für Vishing-Kampagnen.

Faule Eier: Golden Chicken-Gruppe kocht gefälschte Jobangebote aus

Experten der Threat Response Unit bei eSentire warnten diese Woche in einem Blogbeitrag, dass die Hackergruppe Golden Chickens Geschäftsleute auf LinkedIn mit gefälschten Jobangeboten spearphishingt, die scheinbar perfekt zu ihren Fachkenntnissen und Erfahrungen passen – alles in dem Versuch, sie mit einem dateilosen Backdoor-Trojaner namens more_eggs zu infizieren.

Die Backdoor, die als Malware-as-a-Service-Angebot an angeschlossene Cyberkriminelle wie die berüchtigten Gruppen FIN6, Cobalt Group und Evilnum verkauft wird, ist in einer bösartigen Zip-Datei verpackt, deren Dateiname genau die Jobposition enthält, die im LinkedIn-Profil der Zielperson aufgeführt ist.

“Wenn der Job des LinkedIn-Mitglieds beispielsweise als Senior Account Executive-International Freight aufgeführt ist, heißt die bösartige Zip-Datei Senior Account Executive-International Freight position (man beachte das angehängte ‘position’ am Ende)”, heißt es im Blogbeitrag. “Beim Öffnen des gefälschten Stellenangebots initiiert das Opfer unwissentlich die heimliche Installation der dateilosen Hintertür more_eggs”. Infizierte Personen sind dann anfällig für Sekundärinfektionen, die durch den MaaS-Benutzer initiiert werden, einschließlich Ransomware oder Credential Stealers.

Während dieses beobachtete Verhalten einer Kampagne aus dem Jahr 2019 ähnelt, die auf Mitarbeiter von US-Firmen abzielte, die Online-Shopping anbieten, sagte eSentire, dass die Angreifer dieses Mal einen Fachmann erwischten, der in der Technologiebranche des Gesundheitswesens tätig ist und Spear-Phishing betreibt.

“Es ist wahrscheinlich, dass das Ziel von einem Angreifer ausgewählt wurde, der daran interessiert war, Zugriff auf die Cloud-Infrastruktur eines Unternehmens zu erhalten, mit dem möglichen Ziel, sensible Daten im Zusammenhang mit geistigem Eigentum oder sogar die Infrastruktur zur Steuerung medizinischer Geräte zu exfiltrieren”, sagte Chris Hazelton, Director of Security Solutions bei Lookout. “Vernetzte Geräte, insbesondere medizinische Geräte, könnten eine Fundgrube für Cyberkriminelle sein.”

Hazelton merkte auch an, dass das aktuelle Arbeitsklima und der Zustand der Gesundheitsbranche inmitten der COVID-19-Pandemie einen besonders effektiven Zeitpunkt für diese Kampagne darstellt.

“Mit Impfungen, die in einigen Ländern mit einer beeindruckenden Rate eingeführt werden, suchen Unternehmen nach mehr Personal, während sich die Wirtschaft erholt”, erklärte Hazelton. “Dieser Anstieg des LinkedIn-Messaging-Verkehrs bedeutet, dass die Nutzer seit Beginn der Pandemie mehr Nachrichten erhalten, so dass sie weniger Zeit damit verbringen, jede Nachricht zu überprüfen. Die Nutzer sozialer Medien setzen weiterhin zu viel Vertrauen in diese Plattformen, um sich vor Kriminellen zu schützen.”

Neben dem Aspekt der Personalisierung bedient sich die Kampagne einer weiteren hinterhältigen Technik: dem Missbrauch normaler Windows-Prozesse wie Windows Management Instrumentation, Cmstp und Msxsl – so kann die Malware Antiviren-Software und automatisierte Sicherheitslösungen umgehen. “Diese… Elemente machen more_eggs und die Cyberkriminellen, die diese Backdoor nutzen, sehr tödlich”, so Rob McLeod, Senior Director der Threat Response Unit bei eSentire, in dem Bericht.

Gaza Cybergang-Mitglieder verändern ihre Stimmen, um wie Frauen zu klingen?

Am Dienstag veröffentlichte Cado Security einen merkwürdigen Bericht, der neue Details über die Toolkits enthält, die von Akteuren verwendet werden, die der arabischsprachigen APT-Gruppe aus dem Nahen Osten angehören, die als MoleRats oder Gaza Cybergang bekannt ist. Die Gruppe ist bekannt dafür, dass sie es auf Interessen, Beamte oder Institutionen in Palästina und Israel abgesehen hat und in der Vergangenheit auch auf bestimmte westliche Ziele.

Nachdem sie einen fehlkonfigurierten Server der Gruppe gefunden hatten, konnten die Forscher die Assets der Gruppe durchforsten und fanden seltsamerweise Morph Vox Pro, ein legitimes Sprachmodulations-Tool, das die Angreifer für ihre eigenen Operationen kooptierten. Die Forscher vermuten, dass die Akteure das Tool in Vishing-Kampagnen missbraucht haben könnten, um ihre Stimmen zu verstellen, vielleicht um wie Frauen zu klingen.

MoleRats ist dafür bekannt, dass sie versuchen, Opfer, darunter auch Mitglieder der israelischen Verteidigungskräfte, dazu zu bringen, ihre Geräte mit Spyware zu infizieren, indem sie sich in Messaging-Apps als Frauen ausgeben und dann einen bösartigen Link versenden – angeblich zum Anschauen von Videos oder zum Herunterladen einer Foto-Sharing-App, in der sie provokative Bilder austauschen können.

Die Schauspieler haben sogar öffentlich verfügbare Fotos von zufälligen Frauen im Internet umfunktioniert, um solche Tricks zu begehen, und haben Berichten zufolge generische Sprachnachrichten mit Frauenstimmen verschickt, die schnelle Sätze wie “Ja” und “Nein” auf Hebräisch sagen. Die Idee, dass männliche Schauspieler ihre Stimmen verändern, um weiblich zu klingen, ist also nicht besonders weit hergeholt.

“Wir denken, wahrscheinlich ist es diese Jungs vorgeben[ing] Frauen zu sein. Und es ist eine einfache, bessere Möglichkeit für sie, einfache Kurznachrichten zu senden”, sagte Christopher Doman, Mitbegründer und Chief Technology Officer von Cado, in einem Interview mit SC Media. “Und die Art und Weise, wie das in der Vergangenheit bei Angriffen gemacht wurde, ist das Senden von aufgezeichneten Nachrichten auf Dingen wie WhatsApp, Facebook.”

Diese Taktik wird wahrscheinlich nicht von hochentwickelten, staatlich gesponserten Akteuren übernommen werden, aber “wir können uns vorstellen, dass dies definitiv für andere… individuelle Hacktivisten, Low-End-APTs wie diese Typen nützlich ist”, sagte Doman. Für kleine Gruppen, die sich bereits mehr auf Social Engineering als auf teure Exploits verlassen, “ist dies wahrscheinlich etwas Nettes, das dem Repertoire hinzugefügt werden kann, alles, was die geringe Prozentzahl der Wahrscheinlichkeit erhöht, dass diese Spear Phishes funktionieren.”

Diese Technik ist fast ein Babyschritt, der auf die zukünftige Möglichkeit hinweist, dass Cyber-Bedrohungsgruppen die Audio-Depfakes-Technologie auf breiter Front einsetzen, um sich überzeugend als CEOs, Chefs oder Partner von Mitarbeitern auszugeben, um sie dazu zu bringen, eine finanzielle Transaktion zu genehmigen und auszuführen. Allerdings ist diese Technologie eher rudimentärer Natur.

Dennoch, “nur weil dieses Zeug nicht ausgeklügelt ist, bedeutet das nicht, dass es keine realen Auswirkungen gibt”, so Doman.

Betrüger zielen auf .edu-Adressen mit IRS-Phishing

Letzte Woche warnte die US-Steuerbehörde Internal Revenue Service (IRS) vor einer Flut von Phishing-Attacken, die sich als die steuereintreibende Bundesbehörde ausgeben und es auf Studenten und Mitarbeiter von Universitäten abgesehen haben.

“Die IRS [email protected] hat in den letzten Wochen Beschwerden über den Impersonation Scam von Personen mit E-Mail-Adressen erhalten, die auf “.edu” enden, sagte die IRS-Freigabe. “Die Phishing-E-Mails scheinen auf Universitäts- und College-Studenten sowohl von öffentlichen als auch von privaten, gewinnorientierten und gemeinnützigen Institutionen abzuzielen.”

Laut IRS zeigen die Phishing-E-Mails in betrügerischer Absicht das IRS-Logo an und verwenden Betreffzeilen wie “Tax Refund Payment” oder “Recalculation of your tax refund payment”, um die Empfänger dazu zu verleiten, auf bösartige Links zu klicken, die zu Phishing-Seiten führen, die nach Sozialversicherungsnummern, Führerscheinnummern und anderen persönlichen Informationen fragen.

Bürger werden dringend gebeten, Vorfälle dieses Betrugs zu melden an [email protected]. “Steuerzahler, die versuchen, ihre Steuererklärung elektronisch einzureichen und feststellen, dass diese abgelehnt wird, weil bereits eine Steuererklärung mit ihrer SSN eingereicht wurde, sollten ein Formular 14039, Identitätsdiebstahl-Affidavit, einreichen, um sich als mögliches Opfer eines Identitätsdiebstahls zu melden”, heißt es in der Mitteilung weiter.

“Studenten und Mitarbeiter haben nicht nur mit dem Chaos der Pandemie zu kämpfen, sondern werden nun auch in Bezug auf ihre Steuerrückerstattungen ins Visier genommen”, sagt Niamh Muldoon, Global Data Protection Officer bei OneLogin. “Ablenkungen sind reichlich vorhanden, da die Menschen beginnen, sich wieder zu vernetzen und sich an hybride Lern- und Zeitpläne anzupassen. Informationen strömen herein, typischerweise per E-Mail und Collaboration-Tools. Leider sind die Empfänger oft nicht darauf vorbereitet, zu erkennen, ob die Geräte sicherheitsgerecht konfiguriert sind.”

“Da Cyberkriminelle über verschiedene Bedrohungsvektoren wie Phishing-Kampagnen immer wieder akademische Einrichtungen ins Visier nehmen, wäre es klug, wenn diese Bildungseinrichtungen Unterstützung und Schulungen anbieten würden”, so Muldoon weiter. “Das Training sollte wirklich vor der Bereitstellung von Geräten und Online-Systemzugängen angeboten werden.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com